RODO a stan przed 25 maja 2018 r.
Mimo że RODO (czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) uchwalono już prawie 6 lat temu i od prawie 4 lat jesteśmy zobowiązani stosować postanowienia tego aktu, w zakresie ochrony danych osobowych nadal głęboko zakorzenione wydają się być przyzwyczajenia wynikające z wcześniej obowiązujących w Polsce przepisów (w tym ustawy z 1997 r. i wydanych do tej ustawy rozporządzeń). Przed 2018 r. mieliśmy bowiem wyraźne regulacje co do tego jakie zabezpieczenia (techniczne lub organizacyjne – konkretne procedury), należy stosować. Pokutuje to tym, że do dziś w praktyce spotykamy się np. z zamawiającymi wymagającymi w toku postępowań przetargowych posiadania konkretnych dokumentów w postaci polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym. Aktualnie RODO ani nie wymaga posiadania wprost takich dokumentów, ani też nie wprowadza konkretnych wymagań w zakresie zabezpieczeń, jakie stosować powinien administrator danych.
Gdzie znajdziemy wymogi co do tego, jakie zabezpieczenia stosować?
Brak w RODO dokładnych wymogów dotyczących ochrony danych powoduje dość daleko idące skutki dla każdego, kto chce przetwarzać dane osobowe.
Unijny prawodawca wymaga od nas aktywnego i samodzielnego określenia środków zabezpieczeń – wskazując, że dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (tak wynika z art. 5 ust. 1 lit. f RODO). Brak przy tym jednak doprecyzowania, co ten wymóg zapewnienia odpowiedniego bezpieczeństwa oznacza, a w szczególności jakimi środkami mamy to zapewnić. Nie wystarczy więc już zapewnienie jak przed 2018 r., że dostęp do systemu informatycznego będzie zabezpieczony 8-znakowym hasłem zmienianym raz na 30 dni.
Zacytowana część art. 5 RODO sugeruje natomiast, że w stosunku do danych osobowych pamiętać musimy nie tylko o ich poufności, ale że raczej zastosowanie powinien znaleźć model bardziej kompleksowy, np. tzw. triady CIA (skrót powstały z pierwszych liter pojęć Confidentiality, Integrity and Availability, czyli poufność, integralność i dostępność). Potwierdza to fakt, że RODO do tych pojęć odwołuje się w niektórych miejscach wprost, dodając jeszcze czwarty atrybut, jaki w odniesieniu do danych należy zabezpieczyć, czyli autentyczność. W jednym z motywów RODO wskazano, że prawnie uzasadnionym interesem każdego administratora jest przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy. Wskazano w ten sposób, że nie tylko powinniśmy zapewnić poufność, integralność, autentyczność i dostępność danych, ale także, że dopuszczalne jest przetwarzanie danych w tym celu, by takie atrybuty danych zagwarantować. Nie będzie więc co do zasady wymagało np. dodatkowej zgody przetwarzanie danych, jeżeli wymagać tego będzie stosowanie środków służących do zabezpieczania tych danych.
Bezpieczeństwo informacji obejmuje więc ochronę nie tylko przed nieuprawnionym dostępem przez osoby trzecie (czyli poufność), ale także potrzebę zapewnienia pozostałych atrybutów ze wspomnianej triady, chociażby poprzez obronę przed atakami typu DOS („denial of servise”, z angielskiego „odmowa usługi”), czy przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej, które skutkowałyby brakiem dostępności danych lub powstaniem sytuacji, gdzie dane na skutek braku łączności z systemem będącym źródłowym dla innych przestaną być w aktualizowane, co będzie wpływać na ich integralność.
RODO nie idzie jednakże w tym zakresie na skróty i podaje jedynie przykłady zabezpieczeń (w postaci szyfrowania i pseudonimizacji), pozostawiając administratorom podjęcie decyzji co do konkretnych stosowanych rozwiązań. Oczywistym jest bowiem, że dany środek może zabezpieczać dane w odniesieniu do jednego z atrybutów, ale w odniesieniu do innych może już nie być odpowiednie – np. wspomniane szyfrowanie zapewni poufność danych, ale już nie zagwarantuje ich dostępności, a nawet może na nią w pewnych sytuacjach wpływać negatywnie
Co zatem zrobić, by móc powiedzieć, że stosujemy „zabezpieczenia zgodne z RODO” i do stosowania takich zabezpieczeń się przygotować?
Najistotniejszą kwestią dla ustalenia jakie zabezpieczenia są „odpowiednie” jest wiedza – wiedza na temat tego:
- jakimi zasobami (danymi oraz środkami służącymi do ich przetwarzania) dysponujemy,
- z jakimi zagrożeniami może przyjść nam się zmierzyć.
Zasoby, czy aktywa to wszystko to, co ma wartość dla organizacji (w kontekście przetwarzania danych). Mogą do być zarówno same dane osobowe (niezależnie od formy przetwarzania), jak i urządzenia (hardware), programy, interfejsy i inne narzędzia (software), obowiązujące procedury oraz personel. W zakresie zbierania informacji o aktywach istotnym elementem jest tzw. „mapowanie danych”, czyli ustalenie jakie dane, w jaki sposób i w jakim celu są przetwarzane, a także jak te dane „przepływają” pomiędzy różnymi zasobami (np. pomiędzy systemami informatycznymi). Mapowanie danych jest zwykle procesem żmudnym, wymagającym udziału dużej liczby osób z organizacji, jednakże proces ten przekłada się na wykonanie jeszcze jednego obowiązku wynikającego wyraźnie z art. 30 RODO – czyli na stworzenie tzw. rejestru czynności przetwarzania. Dużo łatwiej jest proces ten przeprowadzić, jeżeli do przetwarzania danych wykorzystujemy systemy informatyczne obsługujące kompleksowo jeden lub więcej procesów w naszej organizacji, np. systemy typu ERP, CRM, czy ATS.
Drugim aspektem, jaki musimy opisać i ocenić, to występujące w naszej organizacji zagrożenia – rozumiane jako potencjalne przyczyny powstawania incydentów, skutkiem których może być szkoda dla organizacji. Źródła zagrożeń mogą być przy tym różne – zarówno pochodzące od osób (tak personelu, jak i osób zewnętrznych w stosunku do organizacji), jak i wynikające z wystąpienia zjawisk (takich jak np. powódź, burza, pożar). Skutkiem zmaterializowania się zagrożenia jest natomiast ryzyko. Ryzykiem w przypadku zagrożenia w postaci ataku hackerskiego będzie przykładowo utrata danych.
Znając nasze zasoby, a także mając do nich przypisane zagrożenia, można przejść do kolejnego z etapów – czyli do zaplanowania odpowiednich zabezpieczeń i następnie do ich wdrożenia. Musimy przy tym pamiętać jeszcze o jednej istotnej kwestii – o udokumentowaniu przeprowadzenia opisanych powyżej prac w myśl obowiązującej również na gruncie RODO tzw. zasady rozliczalności. Będzie to dla naszej organizacji kluczowe dla wykazania w trakcie ewentualnej kontroli prowadzonej przez organ nadzorczy, że zadania te wykonaliśmy prawidłowo, a także że nasze zabezpieczenia są odpowiednie.
Jak producenci systemów informatycznych, w tym ERP, chronią dane osobowe?
Systemy informatyczne przetwarzają coraz większą ilość danych osobowych. Wraz z dniem 25 maja 2018 r., czyli wejściem w życie zapisów rozporządzenia, na producentach systemów informatycznych, również systemów ERP, spoczęło opracowanie nowych mechanizmów związanych z ochroną danych osobowych, zgodnych z RODO. Producent oprogramowania enova365 podszedł do tematu dwutorowo.
Konrad Spryńca, Product Manager w firmie Soneta opowiedział jak to wyglądało w praktyce.
– W pierwszej kolejności skupiliśmy się na przygotowaniu odpowiednich ewidencji/raportów, które umożliwiły naszym Klientom prowadzenie wymaganych przez RODO rejestrów. W tym celu przygotowaliśmy m.in.
- możliwość prowadzenia rejestrów czynności oraz kategorii czynności przetwarzania,
- rejestr zgód umożliwiający ewidencjonowanie oraz określanie ich źródeł pochodzenia,
- możliwość przygotowania dedykowanych raportów dających szansę na pozyskanie informacji dotyczących osoby, której dane osobowe przetwarzane są w systemie.
Dodatkowo przygotowaliśmy funkcjonalności wprost zapisane w rozporządzeniu, a mianowicie możliwość pseudonimizacji oraz anonimizacji danych – dodaje ekspert.
Drugi aspekt to mechanizmy ogólnosystemowe dotyczące szeroko rozumianego bezpieczeństwa systemu.
– W tym aspekcie dokonaliśmy przeglądu dotychczasowych zabezpieczeń, zmodyfikowaliśmy je, a obecnie na bieżąco je aktualizujemy ze względu na zmieniające się trendy, otoczenie oraz wymagania w zakresie cybersecurity. Dedykowany temu zagadnieniu zespół enova365 stale pracuje nad wdrażaniem mechanizmów odpowiedzialnych za bezpieczeństwo systemu. Bardzo ważnym aspektem z punktu widzenia bezpieczeństwa jest sprawdzenie poprawności działań wprowadzonych zmian. To właśnie dlatego system enova365 regularnie poddawany jest audytom bezpieczeństwa prowadzonym przez niezależne od nas podmioty. Potwierdzeniem wysokiego poziomu bezpieczeństwa jest wydawany przez jednostkę certyfikat – wskazuje Konrad Spryńca z enova365.
Ochrona danych kontrahentów w praktyce
Niech za przykład praktyczny posłużą mechanizmy ochrony danych osobowych związanych z kontrahentem. Dane kontrahenta o statusie prawnym jednoosobowa działalność gospodarcza – z punktu widzenia zapisów rozporządzenia, powinny być chronione w ten sam sposób jak dane dotyczące osób fizycznych.
– Na kartotece kontrahenta oraz w drzewie folderów modułu enova365 CRM przygotowaliśmy dedykowaną zakładkę pod nazwą „Ochrona danych osobowych” a w niej „Rejestr oświadczeń„. To właśnie w tym miejscu wprowadzane są i ewidencjonowane wszystkie oświadczenia jakie złożył określony kontrahent – mówi Konrad Spryńca, enova365 – To w tym miejscu użytkownik systemu może zarejestrować wybrane informacje: m.in. rodzaj oraz treść zgody, podstawę prawną, datę złożenia zgody, sposób jej uzyskania, określenie czasu retencji danych – dodaje ekspert.
W zależności od czasu przetwarzania danych kontrahenta i podstawy prawnej, system umożliwia ustanowienie mechanizmów przypominających o terminie wygaśnięcia czasu na przetwarzanie konkretnych danych. Wtedy, w zależności od podjętych działań, można ten termin przedłużyć bądź dokonać procesów pseudonomizacji lub anonimizacji danych.
Kartoteka kontrahenta obsługiwana jest przez wybranych pracowników. System posiada mechanizmy ról oraz uprawnień, dzięki którym tylko delegowane osoby będą mogły wykonywać operacje na kartotekach. Dodatkowo każde działania zapisywane jest w mechanizmie tzw. change log, który umożliwia sprawdzenie informacji kto, kiedy i jaki zakres operacji wykonał na danej kartotece.
Wszystko to przyczynia się do zapewnienia maksymalnego bezpieczeństwa systemu ERP enova365. Stoją za nim odpowiednie mechanizmy oraz wiedza specjalistów, którzy zajmują się ochroną danych osobowych na co dzień. Właściwie wykorzystywane oprogramowanie, wdrożone z pomocą Autoryzowanego Partnera pomaga dostosować się do wszystkich rygorystycznych przepisów z tym aspektem związanych. Warto więc sprawdzić jak producent systemu informatycznego przygotował swoje rozwiązanie pod kątem RODO i cybersecurity.